Фишинг: как не попасться на удочку киберпреступников?

17.05.2021 290

Пытаясь заработать деньги, кибермошенники используют целенаправленный фишинг или спам-рассылки с вредоносными вложениями или вредоносными ссылками, которые ведут на фишинговые сайты, либо заражают ПК и шифруют жесткий диск.

В конце рабочего дня сотрудник банка получил на рабочую почту письмо от, как он вначале подумал, другого сотрудника банка с вложением под названием «Зарплаты сотрудников на 2016 год». Из любопытства он открыл вложение, но вместо перечня зарплат обнаружил весьма подозрительный exe-файл. Впрочем, о том, что файл подозрительный, ему пришло в голову лишь потом, когда обнаружилось, что все документы на жестком диске зашифрованы и доступа к ним нет. Как оказалось, внутри вложения находился вредоносный код типа Ransomware, который незаметно шифрует файлы жертвы с помощью стойкого шифрования. Дальше злоумышленник требует выкуп, чтобы расшифровать файлы. Как правило, киберпреступники предоставляют специальную утилиту с встроенным личным ключом расшифровки после оплаты. Преступники предлагают расшифровать несколько файлов бесплатно, чтобы показать жертве свою компетентность, таким образом вынуждая заплатить денег за расшифровку таких важных и необходимых документов.

Если пользователь с первого раза не клюнул на приманку мошенников, авторы целенаправленного фишинга снова и снова меняют тему, «поощряя» пользователей открывать вложение за счет прописывания различных интригующих тематик. Но в реальности последние при открытии вложения письма вместо получения «пикантной» информации лишь запускают различный вредоносный код.

Обходной маневр

Сегодня хакеры редко атакуют ПК с помощью «лобовой атаки», через известные или неизвестные уязвимости в операционной системе или веб-сайтах. Это достаточно сложно и дорого. Поэтому чаще всего атаки начинаются с фишинговой уловки — электронного письма с вредоносной начинкой, на которое «клюют» обычные пользователи.

Напомним, что фишинг — это один из видов интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Он основан на социальной инженерии и незнании пользователями основ информационной безопасности. Обычно фишинг нацелен на финансовые мошенничество или хищения данных, но иногда с его помощью атакуют серьезные системы государственного уровня, что приводит к намного более печальным последствиям.

Техника взлома корпоративных сетей путем рассылки фишинговых писем широко применяется кибермошенниками. Например, APT-кампании Carbanak специализируются на финансовых организациях (но не ограничиваются ими): чтобы попасть в корпоративную сеть банка, киберпреступники рассылают фишинговые письма с вредоносными вложениями. В случае успеха, хакеры получают в свое распоряжение контроллер домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам. После этого происходит вывод денег различными способами, где многое зависит от банка: это или онлайн-переводы, или выдача денег через банкоматы.

Многоуровневая защита от фишинга

Очевидно, что искусно составленное письмо может провести даже опытного пользователя, ведь с помощью методов социальной инженерии киберпреступники способны заставить практически любого пользователя щелкнуть URL-ссылку или открыть вложение. В самом деле, кто удержится от соблазна заглянуть в файл с якобы списком зарплат? Поэтому обучение пользователей по распознаванию фишинга — задача несомненно очень важная, но в любом случае требуется дополнительная защита, фактически «подстраховка» от неправильных действий слишком доверчивых работников. И такой подстраховкой являются решения информационной безопасности от известных производителей.

Вендоры используют мощный многоуровневый подход к защите от возможных фишинговых сообщений. Так, во многих решениях для противодействия фишингу используются слаженная работа систем антиспам, антивирус, веб-фильтрации, предотвращения вторжений (IPS) и IP-репутации. Для дополнительной проверки зловредности кода применяется песочница. Ниже представлен обзор наиболее популярных решений для противодействия фишингу.

fishing_01

FireEye EX: безсигнатурные технологии и система виртуального выполнения

Среди преимуществ продуктов серии FireEye EX — защита в режиме реального времени от целевых фишинговых атак, которые способны обойти классические схемы системы защиты. Кроме того, решение EX реализует новый уровень предотвращения комбинированных атак благодаря применению платформы FireEye NX. Последняя помещает в карантин сообщения email с вредоносными URL-линками.  Для предотвращения атак с целевым фишингом, FireEye EX анализирует каждое вложение с помощью особой мультивекторной архитектуры с модулем виртуального выполнения FireEye Multi-Vector Virtual Execution (MVX), который позволяет выявлять сложные атаки. Если система подтверждает наличие атаки, платформа EX помещает вредоносное письмо в карантин для последующего анализа и удаления.

Кроме того, в серии EX применяется безсигнатурный механизм FireEye MVX, который отражает атаки нулевого дня, нацеленные на еще неизвестные уязвимости в ПО. Механизм FireEye MVX генерирует подробные отчеты с информацией об угрозах, такой как сведения об уязвимостях при переполнении буфера, координаты обратных вызовов при эксфильтрации данных и т. д.

FortiMail: очень высокая производительность

Серия устройств FortiMail от компании Fortinet выполняет защиту почтовых служб предприятия, в реальном времени позволяет проводить сигнатурный и эвристический анализ электронной почты на наличие вирусов и спама. FortiMail может использоваться как самостоятельно, так и в комплексе с FortiGate. Скорость проверки электронных писем антивирусным и антиспам-сканеров составляет от 20 тысяч до 1100 тысяч в час. При маршрутизации писем поддерживается до 10 тысяч почтовых доменов.

FortiSandbox: «песочница» для безопасносго анализа угроз

Отличным дополнением к FortiMail выступает серия «песочниц» FortiSandbox, предназначенных для активного предварительного анализа угроз. FortiSandbox выполняет динамический анализ зловредного кода, при этом решение способно отсылать запросы обратно в лабораторию FortiGuard Labs в реальном времени, что дает возможность очень быстро детектировать как существующие угрозы, так и совершенно новые.

При необходимости администраторы информационной безопасности могут вручную загружать образцы зловредного кода для выполнения в виртуальной песочнице. FortiSandbox можно развернуть как самостоятельное решение, без каких-либо модернизаций в сетевых конфигурациях, так и интегрировать в платформы FortiGate и FortiMail.

TRITON AP-EMAIL: высокоэффективный логический интеллект по контролю угроз

Программное решение Forcepoint TRITON AP-EMAIL представляет собой систему для защиты электронной почты от различных сетевых угроз, а также от утечек данных. Приложение помогает заказчикам соответствовать законодательным требованиям и обеспечивает безопасное использование электронной почты. Продукт доступен в виде локальной платформы, облачного или SaaS-решения, возможно также гибридное использование, сочетающее оба вида поставки.

TRITON AP-EMAIL работает на основе технологий TRITON АСЕ и ThreatSeeker Intelligence Cloud. Мощный механизм классификации TRITON АСЕ эксплуатирует свыше 10 тысяч аналитических алгоритмов, постоянно обновляемых в режиме реального времени. АСЕ оценивает комплексные риски, которые обеспечивают встроенную онлайн-защиту от вредоносного ПО, комбинированных угроз, целевых атак, фишинга и спама. Получатель может легко запустить систему проверки адресных ссылок в «песочнице» (URL Sandboxing), которая удалит подозрительные ссылки, содержащиеся в электронных сообщениях, и проанализирует полезную нагрузку web-страниц в реальном времени. Сеть ThreatSeeker получает данные с 900 миллионов конечных точек и ежедневно анализирует до 5 миллиардов веб-страниц.

Среди преимуществ системы: останавка таргетированных атак, а также APT-угроз на ранних стадиях; защита  конфиденциальных данных как от хищения инсайдерами, так и внешних атак; легкая адаптация к облачным технологиям, таким как Microsoft Office 365. Кроме того, TRITON AP-EMAIL идентифицирует пользователей с высокой степенью риска и повышает осведомленность пользователей об угрозах.